Skip to main content
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verschlüsselungsmanagement mit Azure Key Vault

Beitragende

Verwenden Sie können "Azure Key Vault (AKV)" Um Ihre ONTAP Verschlüsselungen in einer von Azure implementierten Applikation zu schützen.

AKV kann zum Schutz verwendet werden "NetApp Volume Encryption (NVE)-Schlüssel" Nur für Data SVMs.

Die Schlüsselverwaltung mit AKV kann über die CLI oder die ONTAP REST API aktiviert werden.

Bei Verwendung von AKV ist zu beachten, dass standardmäßig eine LIF der Daten-SVM zur Kommunikation mit dem Endpunkt des Cloud-Verschlüsselungsmanagement verwendet wird. Zur Kommunikation mit den Authentifizierungsservices des Cloud-Providers wird ein Node-Managementnetzwerk verwendet (login.microsoftonline.com). Wenn das Cluster-Netzwerk nicht korrekt konfiguriert ist, nutzt das Cluster den Verschlüsselungsmanagementservice nicht ordnungsgemäß.

Bevor Sie beginnen
  • Cloud Volumes ONTAP muss Version 9.10.1 oder höher ausführen

  • Volume Encryption (VE)-Lizenz ist installiert. (NetApp Volume Encryption-Lizenz wird automatisch auf jedem Cloud Volumes ONTAP System installiert, das beim NetApp Support registriert ist).

  • Sie benötigen eine Multi-Tenant Encryption Key Management (MT_EK_MGMT)-Lizenz

  • Sie müssen ein Cluster- oder SVM-Administrator sein

  • Ein Active Azure Abonnement

Einschränkungen
  • AKV kann nur auf einer Daten-SVM konfiguriert werden

  • NAE kann nicht mit AKV verwendet werden. NAE erfordert einen extern unterstützten KMIP-Server.

  • Cloud Volumes ONTAP-Knoten fragen AKV alle 15 Minuten ab, um die Zugänglichkeit und Verfügbarkeit der Schlüssel zu bestätigen. Dieser Abfragezeitraum ist nicht konfigurierbar, und nach vier aufeinanderfolgenden Fehlern beim Abfrageversuch (insgesamt 1 Stunde) werden die Volumes offline gestellt.

Konfigurationsprozess

In den beschriebenen Schritten wird erfasst, wie Sie Ihre Cloud Volumes ONTAP Konfiguration bei Azure registrieren sowie wie ein Azure SchlüsselVault und -Schlüssel erstellt werden. Wenn Sie diese Schritte bereits ausgeführt haben, stellen Sie sicher, dass Sie über die richtigen Konfigurationseinstellungen verfügen, insbesondere in Erstellen Sie einen Azure Key Vault, Und dann weiter zu Cloud Volumes ONTAP-Konfiguration.

Azure Application Registration
  1. Zunächst müssen Sie Ihre Applikation im Azure Abonnement registrieren, das Cloud Volumes ONTAP für den Zugriff auf Azure SchlüsselVault verwenden soll. Wählen Sie im Azure-Portal die Option App-Registrierungen aus.

  2. Wählen Sie Neu registrieren.

  3. Geben Sie einen Namen für Ihre Anwendung ein, und wählen Sie einen unterstützten Anwendungstyp aus. Der standardmäßige einzelne Mandant ist für die Verwendung von Azure Key Vault ausreichend. Wählen Sie Register.

  4. Wählen Sie im Fenster Azure Overview die Anwendung aus, die Sie registriert haben. Kopieren Sie die Anwendung (Client) ID und die Verzeichnis-ID an einen sicheren Ort. Diese werden später bei der Registrierung benötigt.

Azure-Client Secret erstellen
  1. Wählen Sie im Azure-Portal für Ihre Azure Key Vault-App-Registrierung den Fensterbereich Zertifikate & Geheimnisse aus.

  2. Wählen Sie Neuer Client Secret. Geben Sie einen aussagekräftigen Namen für Ihr Kundengeheimnis ein. NetApp empfiehlt einen 24-monatigen Verfallszeitraum. Ihre spezifischen Cloud Governance-Richtlinien erfordern jedoch unter Umständen eine andere Einstellung.

  3. Klicken Sie auf Hinzufügen, um das Clientgeheimnis zu erstellen. Kopieren Sie die in der Spalte Wert aufgeführte geheime Zeichenfolge und speichern Sie sie an einem sicheren Ort zur späteren Verwendung in Cloud Volumes ONTAP-Konfiguration. Der geheime Wert wird nach der Navigation von der Seite nicht erneut angezeigt.

Erstellen Sie einen Azure Key Vault
  1. Falls Sie bereits über einen Azure Schlüsselault verfügen, können Sie ihn mit Ihrer Cloud Volumes ONTAP Konfiguration verbinden. Die Zugriffsrichtlinien müssen jedoch an die Einstellungen in diesem Prozess angepasst werden.

  2. Navigieren Sie im Azure-Portal zum Abschnitt Key Vaults.

  3. Klicken Sie auf +Erstellen und geben Sie die erforderlichen Informationen einschließlich Ressourcengruppe, Region und Preisebene ein. Geben Sie außerdem die Anzahl der Tage ein, um gelöschte Vaults zu behalten, und wählen Sie Spülschutz aktivieren auf dem Schlüsselgewölbe aus.

  4. Wählen Sie Weiter, um eine Zugriffsrichtlinie auszuwählen.

  5. Wählen Sie die folgenden Optionen aus:

    1. Wählen Sie unter Zugriffskonfiguration die Zugriffspolitik Vault aus.

    2. Wählen Sie unter Resource Access Azure Disk Encryption für Volume Encryption aus.

  6. Wählen Sie +Create, um eine Zugriffsrichtlinie hinzuzufügen.

  7. Klicken Sie unter Konfigurieren aus einer Vorlage auf das Dropdown-Menü und wählen Sie dann die Vorlage Schlüssel, Schlüssel und Zertifikatmanagement aus.

  8. Wählen Sie die einzelnen Dropdown-Menüs für Berechtigungen (Schlüssel, Geheimnis, Zertifikat) und anschließend Wählen Sie alle oben in der Menüliste aus, um alle verfügbaren Berechtigungen auszuwählen. Sie sollten Folgendes haben:

    • Hauptberechtigungen: 20 ausgewählt

    • Geheimberechtigungen: 8 ausgewählt

    • Zertifikatberechtigungen: 16 ausgewählt

      Screenshot von „Create an Access Policy“, in dem alle für die Erstellung einer Zugriffsrichtlinie erforderlichen Berechtigungen angezeigt werden

  9. Klicken Sie auf Weiter, um die in erstellte Anwendung Principal Azure auszuwählen Azure Application Registration. Wählen Sie Weiter.

    Hinweis Pro Richtlinie kann nur ein Principal zugewiesen werden.

    Screenshot der Registerkarte Principal für die Zugriffsrichtlinie erstellen

  10. Klicken Sie zweimal auf Weiter, bis Sie bei Review und create angekommen sind. Klicken Sie dann auf Erstellen.

  11. Wählen Sie Weiter, um zu Networking-Optionen zu gelangen.

  12. Wählen Sie die geeignete Netzwerkzugangsmethode oder wählen Sie Alle Netzwerke und Überprüfen + Erstellen, um den SchlüsselTresor zu erstellen. (Netzwerkzugriffsmethode kann von einer Governance-Richtlinie oder einem Sicherheitsteam Ihres Unternehmens für Cloud-Sicherheit vorgeschrieben werden.)

  13. Notieren Sie den Key Vault URI: Navigieren Sie im von Ihnen erstellten Schlüsselspeicher zum Menü Übersicht und kopieren Sie den Vault URI aus der rechten Spalte. Sie brauchen dies für einen späteren Schritt.

Erstellen eines Verschlüsselungsschlüssels
  1. Navigieren Sie im Menü für den für Cloud Volumes ONTAP erstellten Schlüsseldefault zur Option Schlüssel.

  2. Wählen Sie Erzeugen/Importieren, um einen neuen Schlüssel zu erstellen.

  3. Lassen Sie die Standardoption auf Erzeugen gesetzt.

  4. Geben Sie die folgenden Informationen an:

    • Name des Verschlüsselungsschlüssels

    • Schlüsseltyp: RSA

    • RSA-Schlüsselgröße: 2048

    • Aktiviert: Ja

  5. Wählen Sie Erstellen, um den Verschlüsselungsschlüssel zu erstellen.

  6. Kehren Sie zum Menü Tasten zurück und wählen Sie die Taste aus, die Sie gerade erstellt haben.

  7. Wählen Sie die Schlüssel-ID unter Aktuelle Version aus, um die Schlüsseleigenschaften anzuzeigen.

  8. Suchen Sie das Feld Key Identifier. Kopieren Sie den URI nach oben, jedoch nicht mit dem hexadezimalen String.

Azure Active Directory Endpunkt erstellen (nur HA)
  1. Dieser Prozess ist nur erforderlich, wenn Sie Azure Key Vault für eine HA Cloud Volumes ONTAP Arbeitsumgebung konfigurieren.

  2. Navigieren Sie im Azure-Portal zu Virtual Networks.

  3. Wählen Sie das virtuelle Netzwerk aus, in dem Sie die Cloud Volumes ONTAP-Arbeitsumgebung bereitgestellt haben, und wählen Sie das Menü Subnetze auf der linken Seite aus.

  4. Wählen Sie in der Liste den Subnetznamen für Ihre Cloud Volumes ONTAP-Bereitstellung aus.

  5. Navigieren Sie zur Überschrift Service-Endpunkte. Wählen Sie im Dropdown-Menü Folgendes aus:

    • Microsoft.AzureActiveDirectory

    • Microsoft.KeyVault

    • Microsoft.Storage (optional)

      Screenshot von Service-Endpunkten mit drei ausgewählten Services

  6. Wählen Sie Speichern, um Ihre Einstellungen zu erfassen.

Cloud Volumes ONTAP-Konfiguration
  1. Stellen Sie eine Verbindung zur Cluster-Management-LIF mit dem bevorzugten SSH-Client her.

  2. Geben Sie in ONTAP den erweiterten Berechtigungsmodus ein:
    set advanced -con off

  3. Identifizieren Sie die gewünschte Daten-SVM und überprüfen Sie deren DNS-Konfiguration:
    vserver services name-service dns show

    1. Wenn ein DNS-Eintrag für die gewünschte Daten-SVM existiert und ein Eintrag für den Azure DNS enthält, ist keine Aktion erforderlich. Ist dies nicht der Fall, fügen Sie einen DNS-Servereintrag für die Daten-SVM hinzu, der auf den Azure DNS, den privaten DNS oder den lokalen Server verweist. Dies sollte der Eintrag für die Cluster Admin SVM entsprechen:
      vserver services name-service dns create -vserver SVM_name -domains domain -name-servers IP_address

    2. Vergewissern Sie sich, dass der DNS-Service für die Daten-SVM erstellt wurde:
      vserver services name-service dns show

  4. Aktivieren Sie Azure Key Vault mithilfe der Client-ID und der Mandanten-ID, die nach der Registrierung der Applikation gespeichert wurden:
    security key-manager external azure enable -vserver SVM_name -client-id Azure_client_ID -tenant-id Azure_tenant_ID -name key_vault_URI -key-id full_key_URI

    Hinweis Der _full_key_URI Wert muss den verwenden <https:// <key vault host name>/keys/<key label> Formatieren.
  5. Nach der erfolgreichen Aktivierung von Azure Key Vault geben Sie den ein client secret value Wenn Sie dazu aufgefordert werden.

  6. Überprüfen Sie den Status des Schlüsselmanagers:
    `security key-manager external azure check`Die Ausgabe sieht wie folgt aus:

    ::*> security key-manager external azure check
    
    Vserver: data_svm_name
    Node: akvlab01-01
    
    Category: service_reachability
        Status: OK
    
    Category: ekmip_server
        Status: OK
    
    Category: kms_wrapped_key_status
        Status: UNKNOWN
        Details: No volumes created yet for the vserver. Wrapped KEK status will be available after creating encrypted volumes.
    
    3 entries were displayed.

    Wenn der service_reachability Status ist nicht OK, Die SVM kann den Azure Key Vault Service nicht mit allen erforderlichen Konnektivitäts- und Berechtigungen erreichen. Stellen Sie sicher, dass Ihre Azure Netzwerkrichtlinien und Ihr Routing Ihr privates vnet nicht an den öffentlichen Endpunkt von Azure KeyVault blockieren. Falls dies der Fall ist, sollten sie einen Azure Private Endpunkt zum Zugriff auf den Schlüsselvaults innerhalb der vnet-Umgebung verwenden. Möglicherweise müssen Sie auch einen statischen Hosteintrag auf Ihrer SVM hinzufügen, um die private IP-Adresse für Ihren Endpunkt zu lösen.

    Der kms_wrapped_key_status Wird berichten UNKNOWN Bei der Erstkonfiguration. Sein Status ändert sich in OK Nach der Verschlüsselung des ersten Volume.

  7. OPTIONAL: Erstellen Sie ein Test-Volume, um die Funktionalität von NVE zu überprüfen.

    vol create -vserver SVM_name -volume volume_name -aggregate aggr -size size -state online -policy default

    Bei korrekter Konfiguration erstellt Cloud Volumes ONTAP automatisch das Volume und aktiviert die Volume-Verschlüsselung.

  8. Bestätigen Sie, dass das Volume ordnungsgemäß erstellt und verschlüsselt wurde. Wenn das der Fall ist, wird der angezeigt -is-encrypted Der Parameter wird als angezeigt true.
    vol show -vserver SVM_name -fields is-encrypted